Magecart saldırı kampanyası Stripe altyapısını kullanarak çalınan kredi kartı verilerini gizlice depoladı
Siber güvenlik şirketi Sansec, yeni bir Magecart kampanyasının Google Tag Manager ve Stripe altyapısını kötüye kullanarak ödeme sayfalarından kredi kartı bilgileri topladığını açıkladı. Saldırganların, çalınan verileri Stripe müşteri kayıtları içine gizleyerek güvenlik kontrollerinden kaçmaya çalıştığı belirtildi.
E-ticaret güvenliği alanında faaliyet gösteren Sansec araştırmacıları, çevrim içi mağazaları hedef alan yeni bir Magecart saldırı kampanyasını ortaya çıkardı. Araştırmaya göre saldırganlar, hem zararlı kodun dağıtımında hem de çalınan ödeme bilgilerinin saklanmasında Stripe altyapısını kullanıyor.
Sansec tarafından yayımlanan teknik analizde, saldırının tamamen güvenilir kabul edilen Google Tag Manager (GTM) ve Stripe API alan adları üzerinden yürütüldüğü belirtildi. Araştırmacılar, bu durumun saldırının içerik güvenlik politikaları ve ağ filtreleri tarafından tespit edilmesini zorlaştırdığını ifade etti.
Sansec açıklamasında, “Hem zararlı yük hem de çalınan kart verileri api.stripe.com üzerinden taşınıyor. Çevrim içi mağazalar bu alan adına varsayılan olarak izin verdiği için saldırı, normalde şüpheli görülebilecek ağ trafiğinin arasına karışabiliyor.” değerlendirmesinde bulundu.
Ödeme Sayfalarında Etkinleşiyor
Araştırmacılara göre zararlı kod, meşru görünümlü Google Tag Manager kapsayıcılarına yerleştiriliyor ve kullanıcı ödeme sayfasına ulaştığında devreye giriyor.
Sistem, belirli bir Stripe müşteri kaydına ait meta veriler içerisinden JavaScript kodu çekiyor, bu kodu yeniden oluşturuyor ve ardından çalıştırıyor.
Sansec, saldırının özellikle Magento ve Adobe Commerce tabanlı ödeme sayfalarını hedef aldığını belirtti.
Kredi Kartı ve Kişisel Veriler Toplanıyor
Zararlı yazılımın kredi kartı numarası, son kullanma tarihi, CVV kodu ve kart sahibinin adının yanı sıra e-posta adresi, telefon numarası ve fatura bilgilerini de toplamaya çalıştığı kaydedildi.
Toplanan verilerin doğrudan saldırganlara gönderilmediği, önce tek bir veri dizisi hâline getirildiği ve XOR yöntemiyle gizlenerek yerel depolama alanında saklandığı belirtildi.
Stripe Müşteri Kayıtları Veri Kasası Olarak Kullanıldı
Araştırmacılar, verilerin daha sonra ayrı bir süreç aracılığıyla Stripe sistemine aktarıldığını tespit etti.
Bu yöntemde çalınan bilgiler iki parçaya bölünüyor, saldırganın Stripe hesabında sahte bir müşteri kaydı oluşturuluyor ve bilgiler müşteri kaydının meta veri alanlarına yerleştiriliyor.
Sansec, “Her çalınan ödeme kartı, saldırganın Stripe hesabında oluşturulan sahte bir müşteri kaydına dönüştürülüyor. Böylece Stripe, çalınan verilerin saklandığı bir arka uç altyapısı olarak kullanılıyor.” açıklamasını yaptı.
Verilerin aktarılmasının ardından yerel kayıtların silindiği ve böylece hem izlerin ortadan kaldırıldığı hem de aynı bilgilerin tekrar yüklenmesinin önüne geçildiği aktarıldı.
Google Firestore Kullanan Varyant da Tespit Edildi
Sansec araştırmacıları, kampanyanın başka bir sürümünde Stripe yerine Google Firestore hizmetinin kullanıldığını da belirledi.
Bu varyantta zararlı kodun, “braintree-payment-app” adlı proje içerisinde yer alan “tracking/captcha” isimli bir belge üzerinden yüklendiği ifade edildi.
Araştırmacılar, kullanılan isimlerin meşru ödeme ve bot koruma sistemlerini çağrıştıracak şekilde seçildiğini ve bu sayede şüphe çekmeden faaliyet yürütülmesinin amaçlandığını kaydetti.
Faaliyetler En Az Aralık 2025’ten Beri Sürüyor
Sansec tarafından yapılan incelemelerde, zararlı kodu barındıran Stripe müşteri kaydının 24 Aralık 2025 tarihinde oluşturulduğu tespit edildi.
Bu bulgunun, saldırı operasyonunun en az bu tarihten itibaren aktif olabileceğine işaret ettiği belirtildi.
Araştırmacılar, çevrim içi alışveriş yapan kullanıcıların olası riskleri azaltmak için işlem limiti belirlenebilen veya tek kullanımlık sanal kartlardan yararlanmasının ek koruma sağlayabileceğini ifade etti.
Kaynak: Beykozun Sesi
Tepkiniz Nedir?
Beğenmek
0
Beğenmemek
0
Aşk
0
Eğlenceli
0
Sinirli
0
Üzgün
0
Vay
0
